Aggiornamento Unit42 – Attore APT estende l’attacco a ManageEngine, colpendo ServiceDesk Plus. Salgono a 13 le aziende compromesse

redazione

Nel corso di tre mesi, un attore APT persistente ha lanciato numerose campagne che hanno portato alla compromissione di 13 organizzazioni, di cui 4 solo nell’ultimo periodo. A partire dal 16 settembre 2021, la U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato un alert per segnalare che attori Advanced Persistent Threat (APT) stavano attivamente sfruttando le vulnerabilità rilevate di recente in una soluzione di gestione delle password self-service e single sign-on – ManageEngine ADSelfService Plus. Sulla base dei risultati del report iniziale, il 7 novembre Unit42 di Palo Alto Networks aveva individuato una seconda campagna ancor più sofisticata, attiva e difficile da intercettare, che ha portato alla compromissione di almeno 9 organizzazioni. 

Nell’ultimo mese Unit42 ha osservato che l’attore della minaccia è andato oltre ADSelfService Plus, includendo altri software vulnerabili. In particolare, tra il 25 ottobre e l’8 novembre, ha spostato l’attenzione su altre organizzazioni che eseguono un diverso prodotto Zoho, noto come ManageEngine ServiceDesk Plus, monitorando ora l’attività combinata come campagna TiltedTemple. A inizio novembre, Unit42 aveva dichiarato che “mentre l’attribuzione è ancora in corso e non siamo stati in grado di convalidare l’attore dietro la campagna, abbiamo osservato alcune correlazioni tra le tecniche e gli strumenti utilizzati nei casi analizzati e Threat Group 3390 (TG-3390, Emissary Panda, APT27)”. In questa fase, sottolinea che la correlazione è piuttosto accurata, tuttavia l’attribuzione è ancora in corso. In linea con i risultati del Microsoft Threat Intelligence Center (MSTIC), alcune porzioni di TiltedTemple, in particolare gli attacchi di settembre che sfruttano ManageEngine ADSelfService Plus, si sovrappongono all’attività associata a DEV-0322, che secondo MSTIC è “un gruppo che opera dalla Cina, basato sull’infrastruttura osservata, la vittimologia, le tattiche e le procedure”. 

ServiceDesk Plus è un software di help desk e gestione delle risorse. Il 22 novembre, Zoho ha rilasciato un avviso di sicurezza che avverte i clienti dello sfruttamento attivo contro la nuova registrazione CVE-2021-44077. La vulnerabilità ha colpito ServiceDesk Plus nelle versioni 11305 e precedenti. Unit 42 non è stata in grado di identificare alcun codice di prova disponibile pubblicamente per questa vulnerabilità, ma è ora chiaro che l’attore è riuscito a definire con successo come colpire le versioni senza patch del software. Inoltre, dopo l’attacco, ha caricato un nuovo dropper sui sistemi delle vittime. Simile alle tecniche precedenti utilizzate contro il software ADSelfService, questo dropper distribuisce una Godzilla webshell che fornisce all’attore ulteriore accesso e persistenza nei sistemi compromessi. Nell’analizzare il problema, abbiamo utilizzato le capacità di Xpanse, rilevando oltre 4.700 istanze di ServiceDesk Plus connesse a Internet a livello globale, di cui 2.900 – o il 62% – valutate vulnerabili allo sfruttamento. 

Alla luce di questi recenti sviluppi, pensiamo che la minaccia possa fare capo a quella di uno o più APT che conducono una campagna persistente sfruttando numerosi vettori di accesso iniziale, per compromettere un insieme diversificato di obiettivi a livello globale. Negli ultimi tre mesi, almeno 13 organizzazioni che operano nei settori di tecnologia, energia, sanità, istruzione, finanza e difesa sono state compromesse. Delle quattro nuove vittime, due sono state compromesse attraverso i server vulnerabili di ADSelfService Plus, mentre due tramite il software ServiceDesk Plus. Prevediamo che questo numero salirà ulteriormente e che l’attore continuerà a condurre attività di ricognizione contro questi e altri settori, comprese le infrastrutture pubbliche associate a cinque stati americani.

Il blog completo è disponibile qui https://unit42.paloaltonetworks.com/tiltedtemple-manageengine-servicedesk-plus/